Cloudflare सुरक्षा

Reading time: 6 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

एक Cloudflare खाते में कुछ सामान्य सेटिंग्स और सेवाएँ होती हैं जिन्हें कॉन्फ़िगर किया जा सकता है। इस पृष्ठ पर हम प्रत्येक अनुभाग की सुरक्षा से संबंधित सेटिंग्स का विश्लेषण करने जा रहे हैं:

वेबसाइटें

प्रत्येक की समीक्षा करें:

Cloudflare Domains

डोमेन पंजीकरण

  • Transfer Domains में जांचें कि किसी भी डोमेन को स्थानांतरित करना संभव नहीं है।

प्रत्येक की समीक्षा करें:

Cloudflare Domains

विश्लेषण

मैंने कॉन्फ़िग सुरक्षा समीक्षा के लिए कुछ नहीं पाया।

पृष्ठ

प्रत्येक Cloudflare के पृष्ठ पर:

  • Build log में संवेदनशील जानकारी की जांच करें।
  • पृष्ठों को सौंपे गए Github repository में संवेदनशील जानकारी की जांच करें।
  • workflow command injection या pull_request_target समझौते के माध्यम से संभावित github repo समझौते की जांच करें। अधिक जानकारी Github सुरक्षा पृष्ठ में है।
  • /fuctions निर्देशिका में कमजोर कार्यों की जांच करें (यदि कोई हो), _redirects फ़ाइल में redirects की जांच करें (यदि कोई हो) और _headers फ़ाइल में गलत कॉन्फ़िगर किए गए हेडर की जांच करें (यदि कोई हो)।
  • यदि आप कोड तक पहुँच सकते हैं तो blackbox या whitebox के माध्यम से वेब पृष्ठ में कमजोरियों की जांच करें।
  • प्रत्येक पृष्ठ के विवरण /<page_id>/pages/view/blocklist/settings/functions में। Environment variables में संवेदनशील जानकारी की जांच करें।
  • विवरण पृष्ठ में build command और root directory की भी जांच करें कि क्या संभावित इंजेक्शन पृष्ठ को समझौता कर सकते हैं।

कार्यकर्ता

प्रत्येक Cloudflare के कार्यकर्ता की जांच करें:

  • ट्रिगर्स: कार्यकर्ता को क्या ट्रिगर करता है? क्या एक उपयोगकर्ता डेटा भेज सकता है जो कार्यकर्ता द्वारा उपयोग किया जाएगा?
  • Settings में, संवेदनशील जानकारी वाले Variables की जांच करें।
  • कार्यकर्ता के कोड की जांच करें और कमजोरियों की खोज करें (विशेष रूप से उन स्थानों पर जहां उपयोगकर्ता इनपुट को प्रबंधित कर सकता है)।
  • नियंत्रित पृष्ठ को लौटाने वाले SSRFs की जांच करें।
  • SVG छवि के अंदर JS निष्पादित करने वाले XSSs की जांच करें।
  • यह संभव है कि कार्यकर्ता अन्य आंतरिक सेवाओं के साथ बातचीत करता है। उदाहरण के लिए, एक कार्यकर्ता एक R2 बकेट के साथ बातचीत कर सकता है जिसमें इनपुट से प्राप्त जानकारी संग्रहीत होती है। इस मामले में, यह जांचना आवश्यक होगा कि कार्यकर्ता के पास R2 बकेट पर क्या क्षमताएँ हैं और इसे उपयोगकर्ता इनपुट से कैसे दुरुपयोग किया जा सकता है।

warning

ध्यान दें कि डिफ़ॉल्ट रूप से एक कार्यकर्ता को एक URL दिया जाता है जैसे <worker-name>.<account>.workers.dev। उपयोगकर्ता इसे एक उपडोमेन पर सेट कर सकता है लेकिन यदि आप इसे जानते हैं तो आप हमेशा उस मूल URL के साथ इसे एक्सेस कर सकते हैं।

R2

प्रत्येक R2 बकेट की जांच करें:

  • CORS नीति कॉन्फ़िगर करें।

स्ट्रीम

TODO

छवियाँ

TODO

सुरक्षा केंद्र

  • यदि संभव हो, तो Security Insights स्कैन और Infrastructure स्कैन चलाएँ, क्योंकि वे सुरक्षा के दृष्टिकोण से दिलचस्प जानकारी हाइलाइट करेंगे।
  • सुरक्षा गलत कॉन्फ़िगरेशन और दिलचस्प जानकारी के लिए केवल इस जानकारी की जांच करें।

टर्नस्टाइल

TODO

जीरो ट्रस्ट

Cloudflare Zero Trust Network

बल्क रीडायरेक्ट्स

note

डायनामिक रीडायरेक्ट्स के विपरीत, बल्क रीडायरेक्ट्स मूल रूप से स्थिर हैं - वे किसी भी स्ट्रिंग प्रतिस्थापन संचालन या नियमित अभिव्यक्तियों का समर्थन नहीं करते हैं। हालाँकि, आप URL रीडायरेक्ट पैरामीटर कॉन्फ़िगर कर सकते हैं जो उनके URL मिलान व्यवहार और उनके रनटाइम व्यवहार को प्रभावित करते हैं।

  • जांचें कि रीडायरेक्ट के लिए व्यक्तिगत और आवश्यकताएँ संगत हैं।
  • संवेदनशील छिपे हुए एंडपॉइंट्स के लिए भी जांचें जो दिलचस्प जानकारी रखते हैं।

सूचनाएँ

  • सूचनाओं की जांच करें। ये सूचनाएँ सुरक्षा के लिए अनुशंसित हैं:
  • Usage Based Billing
  • HTTP DDoS Attack Alert
  • Layer 3/4 DDoS Attack Alert
  • Advanced HTTP DDoS Attack Alert
  • Advanced Layer 3/4 DDoS Attack Alert
  • Flow-based Monitoring: Volumetric Attack
  • Route Leak Detection Alert
  • Access mTLS Certificate Expiration Alert
  • SSL for SaaS Custom Hostnames Alert
  • Universal SSL Alert
  • Script Monitor New Code Change Detection Alert
  • Script Monitor New Domain Alert
  • Script Monitor New Malicious Domain Alert
  • Script Monitor New Malicious Script Alert
  • Script Monitor New Malicious URL Alert
  • Script Monitor New Scripts Alert
  • Script Monitor New Script Exceeds Max URL Length Alert
  • Advanced Security Events Alert
  • Security Events Alert
  • सभी गंतव्यों की जांच करें, क्योंकि वेबहुक URLs में संवेदनशील जानकारी (बुनियादी http प्रमाणीकरण) हो सकती है। यह भी सुनिश्चित करें कि वेबहुक URLs HTTPS का उपयोग करते हैं।
  • अतिरिक्त जांच के रूप में, आप किसी तीसरे पक्ष को cloudflare सूचना का प्रतिरूपण करने की कोशिश कर सकते हैं, शायद आप किसी तरह कुछ खतरनाक इंजेक्ट कर सकते हैं।

खाता प्रबंधित करें

  • Billing -> Payment info में क्रेडिट कार्ड के अंतिम 4 अंक, समाप्ति समय और बिलिंग पता देखना संभव है।
  • Billing -> Subscriptions में खाते में उपयोग किए जाने वाले योजना प्रकार को देखना संभव है।
  • Members में खाते के सभी सदस्यों और उनकी भूमिका को देखना संभव है। ध्यान दें कि यदि योजना प्रकार एंटरप्राइज नहीं है, तो केवल 2 भूमिकाएँ होती हैं: व्यवस्थापक और सुपर व्यवस्थापक। लेकिन यदि उपयोग की गई योजना एंटरप्राइज है, तो अधिक भूमिकाएँ का उपयोग किया जा सकता है ताकि न्यूनतम विशेषाधिकार सिद्धांत का पालन किया जा सके।
  • इसलिए, जब भी संभव हो, एंटरप्राइज योजना का उपयोग करना अनुशंसित है।
  • सदस्यों में यह जांचना संभव है कि कौन से सदस्यों ने 2FA सक्षम किया है। हर उपयोगकर्ता को इसे सक्षम करना चाहिए।

note

ध्यान दें कि सौभाग्य से भूमिका Administrator को सदस्यता प्रबंधन के लिए अनुमतियाँ नहीं दी जाती हैं (विशेषाधिकार बढ़ाने या नए सदस्यों को आमंत्रित करने की अनुमति नहीं है)।

DDoS जांच

इस भाग की जांच करें.

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें